The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Оценка безопасности текущей реализации chroot в Li..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Оценка безопасности текущей реализации chroot в Li..."  
Сообщение от opennews (??) on 28-Сен-07, 00:56 
В списке рассылки разработчиков Linux ядра один из разработчиков представил патч устраняющий одну из проблем chroot() и поднял тему необходимости переработки реализации chroot в Linux. В настоящее время, если в изолированном окружении можно получить привилегии суперпользователя, то остается множество способов взаимодействия с внешним окружением  (например, если процесс не изменил текущую директорию, то после chroot, в нее можно вернуться, схема - "mkdir foo; chroot foo; cd ..").


Другие разработчики пояснили: это стандартное поведение chroot(), которое никто не собирается исправлять. Chroot() не следует воспринимать как инструмент для обеспечения безопасности, он эффективен только в комплексных решениях, подобных BSD Jail или  Linux vserver.

URL: http://kerneltrap.org/Linux/Abusing_chroot
Новость: http://www.opennet.ru/opennews/art.shtml?num=12225

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Оценка безопасности текущей реализации chroot в Linux"  
Сообщение от pavlinux email(??) on 28-Сен-07, 00:56 
Ну что сказать, пущай юзает GRsecurity.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Оценка безопасности текущей реализации chroot в Linux"  
Сообщение от ZANSWER email(??) on 28-Сен-07, 07:21 
Старый спор, по сути, правы, как первые так и вторые, но я склоняюсь всё же к вторым, что chroot нужно использовать только в комплексной защите, если нужна защита, а не делать на нём всё, делая из него то, для чего он не предназначен...:)))
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Оценка безопасности текущей реализации chroot в Linux"  
Сообщение от Аноним on 28-Сен-07, 13:29 
ребята не делайте из мухи слона, chroot создавался не для обеспечения безопасности, хотите секьюрность используйте selinux
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Оценка безопасности текущей реализации chroot в Linux"  
Сообщение от _Nick_ email(??) on 29-Сен-07, 05:08 
> например, если процесс не изменил текущую
> директорию, то после chroot, в нее можно
> вернуться, схема - "mkdir foo; chroot foo; cd .."

схема, откровенно говоря, - гумно.
Потому как бинарь chroot делает 3 вещи:
chroot("somedir")
chdir("/")
execve("......")

т.е. следующая команда выполняеться уже имея и корнем и текущей дирой эту "somedir".

Некуда там возвращаться.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Оценка безопасности текущей реализации chroot в Linux"  
Сообщение от KdF (??) on 29-Сен-07, 17:34 
Бинарь-то тут причём? Речь ведь идёт о системном вызове, насколько я понял.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Оценка безопасности текущей реализации chroot в Linux"  
Сообщение от _Nick_ email(??) on 29-Сен-07, 17:37 
>Бинарь-то тут причём? Речь ведь идёт о системном вызове, насколько я понял.

суть - да. Что chroot не трогает текущую диру.

Но вот это вот, то, что указано в новости, на системные вызовы не похоже
в своем написании (если совсем придраться - то все равно сискола "cd" не существует):

"mkdir foo; chroot foo; cd .."

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру